L’organisme de sécurité CertiK a détecté le 13 avril une attaque par exploitation de vulnérabilité contre le contrat de passerelle inter-chaînes Hyperbridge. L’attaquant a utilisé de faux messages pour contourner la validation du contrat, modifiant avec succès les droits d’administrateur du contrat de jetons DOT interconnectés (bridgés) de Polkadot, puis a émis illégalement 1 milliard de jetons DOT bridgés et les a tous revendus dans une seule transaction. Au final, le profit ne s’élève qu’à 108,2 ETH, soit l’équivalent d’environ 237 000 dollars.
Mécanisme d’attaque : comment de faux messages inter-chaînes permettent d’obtenir le contrôle d’administrateur
(Source:CertiK)
Hyperbridge est un protocole de passerelle inter-chaînes déployé sur Ethereum, qui permet aux actifs de réseaux comme Polkadot de circuler sur Ethereum sous forme de jetons bridgés. D’après le suivi de CertiK, l’attaquant a identifié une vulnérabilité de validation des messages dans le contrat et, en construisant de faux messages inter-chaînes pour contourner les contrôles de validité requis, a réussi à s’emparer du contrôle d’administrateur du contrat de jetons DOT bridgés.
Après avoir obtenu les droits d’administrateur, l’attaquant a effectué des opérations d’émission de jetons non autorisées, créant arbitrairement 1 milliard de jetons DOT bridgés, puis les a tous revendus dans une seule transaction. L’ensemble du processus — fabriquer de faux messages, modifier l’administrateur, frapper (émettre) des jetons, clôturer les positions (liquider) — s’est déroulé entièrement on-chain. L’outil de suivi Lookonchain confirme que cette transaction n’a finalement permis d’encaisser que 108,2 ETH.
Pourquoi 1 milliard de jetons ne rapportent que 237 000 dollars : la mathématique impitoyable du piège de liquidité
Le détail le plus ironique de cette attaque est l’écart massif entre 1 milliard de jetons et 237 000 dollars. Les données de Lookonchain indiquent que, avant la vente, le prix proposé du DOT bridgé était d’environ 1,22 dollar. L’espace d’arbitrage maximal théorique dépasserait alors 1,2 milliard de dollars ; cependant, l’énorme pression de vente d’1 milliard de jetons a, en un instant, dépassé la profondeur de liquidité que la chaîne pouvait absorber. Le prix de la pièce est passé de 1,22 dollar à presque zéro, et l’écrasante majorité des jetons nouvellement émis s’est révélée comme sans valeur.
C’est un piège de liquidité typique : l’attaquant peut créer des jetons, mais ne peut pas créer des acheteurs.
Résumé des données clés de la présente attaque
Contrat visé : le contrat de passerelle inter-chaînes Hyperbridge sur la chaîne Ethereum
Méthode d’attaque : fabriquer de faux messages inter-chaînes et modifier les droits d’administrateur du contrat de jetons DOT bridgés
Quantité émise illégalement : 1 milliard de jetons DOT bridgés sur Ethereum
Prix du jeton avant la vente : environ 1,22 dollar ; après la vente : proche de zéro
Bénéfice réel de l’attaquant : 108,2 ETH (environ 237 000 dollars)
Arbitrage théorique le plus élevé : si la liquidité est suffisante, il pourrait théoriquement dépasser 1,2 milliard de dollars
Zone touchée : DOT bridgé sur Ethereum ; la chaîne native Polkadot n’est pas affectée directement
Distinction importante : la limite de sécurité entre les actifs bridgés et le DOT natif de Polkadot
L’objectif de la présente attaque était le contrat de jetons DOT bridgés déployé sur Ethereum ; la machine de consensus de la chaîne principale native Polkadot et du jeton DOT natif n’ont pas été attaqués directement ni affectés dans cet incident.
Les ponts inter-chaînes (bridges) sont depuis longtemps l’un des maillons les plus concentrés en risques de sécurité dans l’écosystème DeFi. Les contrats intelligents des actifs bridgés sont généralement déployés de manière indépendante. Le niveau d’audit de sécurité et les mécanismes de surveillance peuvent différer de ceux de la chaîne native, ce qui permet à un attaquant de provoquer des dégâts en exploitant uniquement les vulnérabilités du contrat de bridge, sans toucher à la chaîne principale. Les utilisateurs détenant des actifs bridgés doivent comprendre clairement que les risques qu’ils supportent ne proviennent pas seulement de la couche de base de la chaîne, mais aussi de la sécurité des contrats de l’infrastructure de bridging elle-même.
Questions fréquentes
Qu’est-ce qu’Hyperbridge ? Quel est son lien avec Polkadot ?
Hyperbridge est un protocole de passerelle inter-chaînes déployé sur Ethereum, qui permet aux actifs de réseaux comme Polkadot de circuler sur Ethereum sous forme de jetons bridgés. C’est l’une des infrastructures qui relient les écosystèmes Polkadot et Ethereum, mais, dans l’architecture technique, elle est indépendante du fonctionnement de la chaîne principale native de Polkadot.
L’attaquant a émis 1 milliard de DOT ; pourquoi n’a-t-il finalement gagné que 237 000 dollars ?
Lorsque l’attaquant a vendu 1 milliard de DOT bridgés, la profondeur de liquidité sur la chaîne Ethereum était très insuffisante pour absorber une vente d’une telle ampleur. La pression de vente a fait chuter le prix du jeton de 1,22 dollar en l’espace d’un instant jusqu’à presque zéro, entraînant que la quasi-totalité des jetons nouvellement émis pouvait à peine être convertie en fonds. Finalement, il n’a pu vendre qu’une très petite proportion avant l’effondrement du marché, encaissant environ 108,2 ETH.
Cette attaque a-t-elle affecté les détenteurs de DOT sur la chaîne native de Polkadot ?
D’après l’analyse de CertiK, la cible de l’attaque était le contrat de DOT bridgé sur Ethereum ; la chaîne principale native Polkadot et le jeton DOT natif n’ont pas été affectés directement. Les investisseurs détenant du DOT de la chaîne principale Polkadot sont confrontés à un impact émotionnel de marché indirect, plutôt qu’à un risque de sécurité direct des actifs de base.
Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'
avertissement.
Articles similaires
Le prix du Cardano vise une cassure alors que ADA forme une figure haussière
Points clés
ADA forme un motif « tasse et poignée » sur le graphique sur deux heures, signalant une éventuelle continuation si le prix franchit bientôt la zone de résistance clé.
Le volume des transactions et le taux d’intérêt ouvert augmentent ensemble, confirmant une nouvelle participation du marché, tandis que des liquidations équilibrées indiquent que ni l’un ni l’autre
CryptoNewsLandIl y a 1h
Bitcoin comble le gap CME à 78 690 $ ; un analyste identifie $67K et $84K comme niveaux critiques
Message de Gate News, 27 avril — Bitcoin a ouvert la séance de lundi avec une volatilité importante, passant au-dessus de 79 000 $ pendant les heures de marché asiatiques avant de redescendre à environ 77 000 $. Le repli a permis à BTC de combler rapidement le gap des contrats à terme CME qui s'était formé au cours du week-end.
Le gap des contrats à terme BTC du CME
GateNewsIl y a 1h
Hoskinson qualifie la « Clarity Act » de « folie », affirme qu’elle classerait XRP comme un titre financier
Charles Hoskinson, fondateur de Cardano, a déclaré dans une interview que, sous sa forme actuelle, le Clarity Act classifierait XRP, Ethereum et ADA comme des valeurs mobilières si ces projets étaient créés aujourd'hui, contredisant les célébrations de la communauté XRP concernant le passage du projet de loi.
Le mécanisme de piège de la sécurité
H
CryptoFrontierIl y a 1h
Les Blue Chips NFT enregistrent une hausse alors que les prix montent malgré un ralentissement de l’activité du marché
Avec 201 ventes et environ 1,000 ETH de volume sur les sept jours précédents, Pudgy Penguins a vu son prix plancher dépasser 5 ETH, soit une hausse de 20 % par rapport à la semaine dernière.
Les données de CryptoSlam indiquent que les ventes mondiales de NFT ont chuté à environ $175 million en avril, contre $304 million en
TheNewsCryptoIl y a 6h
Alerte TradFi Hausse : OJUICE (Orange Juice) En hausse sur 4%
Gate News : Selon les dernières données de Gate TradFi, OJUICE (Orange Juice) a a bondi de 4% en peu de temps. La volatilité actuelle est nettement supérieure à la moyenne récente, ce qui indique une activité accrue sur le marché.
GateNewsIl y a 6h
Les fonds crypto mondiaux enregistrent 1,2 Md$ d’entrées hebdomadaires nettes, tandis que Bitcoin entraîne une forte hausse du capital institutionnel
Message d’actualité Gate News, le 27 avril — Les produits d’investissement crypto mondiaux émis par des gestionnaires d’actifs, dont BlackRock, ARK 21Shares et Fidelity, ont enregistré 1,2 milliard de dollars d’entrées nettes la semaine dernière, selon des données de CoinShares. Les produits adossés à Bitcoin ont mené la charge avec 932,5 millions de dollars, portant les entrées des fonds bitcoin à ce jour à environ billion
GateNewsIl y a 8h
